bmonit
El componente Supervisión del comportamiento supervisa constantemente los puntos finales en busca de modificaciones inusuales en el sistema operativo o en el software instalado. El componente Supervisión del comportamiento protege los puntos finales mediante las funciones Bloqueador de comportamientos malintencionados y Supervisión de sucesos. Como complemento a dichas funciones, dispone de una lista de excepciones configurada por el usuario y del Servicio de software seguro certificado.
Importante
El componente Supervisión del comportamiento solo es compatible con plataformas de 32 bits.
De forma predeterminada, el componente Supervisión del comportamiento está desactivado en las versiones de 32 bits de Windows Server 2003 y Windows Server 2008. Antes de activar el componente Supervisión del comportamiento en estas plataformas del servidor, lea las directrices y las prácticas recomendadas que se describen en Servicios del cliente.
El Bloqueador de comportamientos malintencionados proporciona una capa adicional para la protección frente a amenazas procedentes de programas que muestren un comportamiento malicioso. Observa eventos del sistema durante un periodo de tiempo. Si los programas ejecutan combinaciones o secuencias de acciones diferentes, el Bloqueador de comportamientos malintencionados detecta el comportamiento malicioso conocido y bloquea los programas a los que esté asociado. Utilice esta función para garantizar un mayor nivel de seguridad frente a amenazas nuevas, desconocidas y emergentes.
Cuando se bloquea un programa y las notificaciones están activadas, OfficeScan muestra una notificación en el equipo cliente. Consulte Notificaciones de supervisión del comportamiento para usuarios del cliente para obtener información detallada sobre las notificaciones.
La función Supervisión de sucesos proporciona un enfoque más general en la protección frente a software no autorizado o ataques de malware. Supervisa determinados sucesos en áreas del sistema, lo que permite que los administradores regulen aquellos programas que den lugar a dichos eventos. Utilice la función Supervisión de sucesos si cuenta con unos requisitos de protección del sistema específicos que se hallen más allá de la protección que proporciona el Bloqueador de comportamientos malintencionados.
Los sucesos del sistema que se supervisa incluyen:
|
Sucesos |
Descripción |
|
Archivo de sistema duplicado |
Muchos programas maliciosos crean copias de sí mismos o de otros programas maliciosos utilizando nombres de archivos usados por los archivos del sistema de Windows. Esto lo hacen normalmente para sobrescribir o sustituir archivos del sistema, evitar ser detectados o evitar que los usuarios eliminen los archivos maliciosos. |
|
Modificación del archivo Hosts |
El archivo Hosts hace coincidir los nombres de los dominios con las direcciones IP. Muchos programas maliciosos modifican el archivo Hosts para que el explorador Web entre en sitios Web infectados, falsos o que no existen. |
|
Comportamiento sospechoso |
Un comportamiento sospechoso puede ser una acción específica o una serie de acciones que llevan a cabo de manera extraña los programas legítimos. Los programas que muestran un comportamiento sospechoso se deben utilizar con precaución. |
|
Nuevo complemento de Internet Explorer |
Programas de spyware y grayware que a menudo instalan complementos de Internet Explorer no deseados, incluidas barras de herramientas y objetos auxiliadores del explorador. |
|
Modificación de la configuración de Internet Explorer |
Muchos virus o malware cambian elementos de la configuración de Internet Explorer, incluidos la página de inicio, sitios Web de confianza, configuración del servidor proxy y extensiones de menú. |
|
Modificación de la política de seguridad |
Las modificaciones realizadas en la política de seguridad de Windows pueden permitir a las aplicaciones no deseadas ejecutarse y realizar cambios en la configuración del sistema. |
|
Inyección en la biblioteca del programa |
Muchos programas maliciosos configuran Windows para que todas las aplicaciones carguen de forma automática una biblioteca de programas (DLL). Esto permite a las rutinas maliciosas de la DDL ejecutarse cada vez que se inicia una aplicación. |
|
Modificación del shell |
Muchos programas maliciosos modifican la configuración del shell de Windows para asociarse a determinados tipos de archivos. Esta rutina permite a los programas maliciosos iniciarse automáticamente si los usuarios abren los archivos asociados en el Explorador de Windows. Los cambios en la configuración del shell de Windows pueden también permitir a los programas maliciosos realizar un seguimiento de los programas utilizados e iniciar aplicaciones legítimas cercanas. |
|
Nuevo servicio |
Los servicios de Windows son procesos que cuentan con funciones especiales y normalmente se ejecutan continuamente en segundo plano con acceso administrativo completo. A veces los programas maliciosos se instalan como servicios para permanecer ocultos. |
|
Modificación de archivos del sistema |
Algunos archivos del sistema de Windows determinan el comportamiento del sistema, incluidos los programas de arranque y la configuración del salvapantallas. Muchos programas maliciosos modifican los archivos del sistema para que se inicien automáticamente en el arranque y controlar el comportamiento del sistema. |
|
Modificación de la política del Firewall |
La política del Firewall de Windows determina qué aplicaciones tienen acceso a la red, qué puertos se abren para establecer la comunicación y la dirección IP que puede comunicarse con el equipo. Muchos programas maliciosos modifican esta política para poder acceder a la red y a Internet. |
|
Modificación de los procesos del sistema |
Muchos programas maliciosos llevan a cabo varias acciones en los procesos integrados de Windows. Estas acciones pueden incluir la finalización o la modificación de los procesos de ejecución. |
|
Nuevo programa de inicio |
Muchos programas maliciosos configuran Windows para que todas las aplicaciones carguen de forma automática una biblioteca de programas (DLL). Esto permite a las rutinas maliciosas de la DDL ejecutarse cada vez que se inicia una aplicación. |
Cuando la función Supervisión de sucesos detecta un suceso del sistema que se esté supervisando, efectúa la acción configurada para dicho suceso. Puede seleccionar de entre las siguientes acciones:
|
Acciones en los sucesos del sistema supervisado |
|
Acción |
Descripción |
|
Valorar |
OfficeScan permite siempre los programas asociados a un suceso, pero registra la acción en los registros para su valoración. Esta es la acción predeterminada para los sucesos del sistema supervisado. |
|
Permitir |
OfficeScan permite siempre los programas asociados a un suceso. |
|
Preguntar en caso necesario |
OfficeScan solicita a los usuarios que permitan o denieguen programas asociados a un suceso y que añadan dichos programas a la lista de excepciones. Si el usuario no responde una vez transcurrido un determinado periodo de tiempo, OfficeScan permite de forma automática que el programa se ejecute. El periodo de tiempo predeterminado es de 30 segundos. Para modificar el periodo de tiempo, consulte Para modificar el periodo de tiempo antes de permitir que un programa se ejecute:. |
|
Denegar |
OfficeScan bloquea siempre los programas asociados a un suceso e incluye la acción en los registros. Cuando se bloquea un programa y las notificaciones están activadas, OfficeScan muestra una notificación en el equipo cliente. Consulte Notificaciones de supervisión del comportamiento para usuarios del cliente para obtener información detallada sobre las notificaciones. |
La lista de excepciones de Supervisión del comportamiento contiene programas que esta función no supervisa.
Programas permitidos: Los programas de esta lista pueden ejecutarse. Otras funciones de OfficeScan (como la exploración basada en archivos) seguirán comprobando los programas permitidos antes de que finalmente se les permita ejecutarse.
Programas bloqueados: Los programas de esta lista no se pueden iniciar jamás. La función Supervisión de sucesos debe estar activada para que se pueda configurar esta lista.
Configure la lista de excepciones desde la consola Web. También puede conceder a los usuarios el derecho de configurar su propia lista de excepciones desde la consola del cliente. Para obtener información detallada, consulte Privilegios de supervisión de comportamiento.
Para configurar el Bloqueador de comportamientos malintencionados, la función Supervisión de sucesos y la lista de excepciones:
Equipos en red > Administración de clientes
En el árbol de clientes, haga clic en el icono del dominio raíz 
para incluir todos los clientes o seleccionar dominios o clientes específicos.
Haga clic en Configuraciones > Configuración de la supervisión del comportamiento.
Seleccione Activar Bloqueador de comportamientos malintencionados.
Defina la configuración de la función Supervisión de sucesos.
Seleccione Activar Supervisión de sucesos.
Elija los sucesos del sistema que desee supervisar y seleccione una acción para cada uno de los eventos seleccionados. Para obtener más información acerca de los sucesos y acciones del sistema supervisado, consulte Supervisión de sucesos.
Configure la lista de excepciones.
En Escribir la ruta completa del programa, introduzca la ruta completa del programa que desee permitir o bloquear. Separe las entradas múltiples mediante punto y coma (;). La lista de excepciones es compatible con comodines y rutas UNC.
Haga clic en Programas permitidos o en Programas bloqueados.
OfficeScan acepta un máximo de 100 programas permitidos y 100 programas bloqueados.
Para eliminar de la lista un programa bloqueado o permitido, haga clic en el icono de la papelera 
situado junto al programa.
En caso de que haya seleccionado dominios o clientes en el árbol de clientes, haga clic en Guardar. En caso de que haya hecho clic en el icono del dominio raíz, seleccione alguna de las siguientes opciones:
Aplicar a todos los clientes: esta opción aplica la configuración a todos los clientes existentes y a los nuevos clientes que se añadan a un dominio existente o futuro. Los futuros dominios son dominios todavía no creados en el momento en que haya realizado la configuración.
Aplicar solo a futuros dominios: esta opción aplica la configuración a los clientes que se añadan a futuros dominios. Esta opción no aplica la configuración a los clientes que se hayan añadido a un dominio existente.
Para modificar el periodo de tiempo antes de permitir que un programa se ejecute:
Equipos en red > Configuración general del cliente
Esta configuración solo funciona si está activa la función Supervisión de sucesos y se ha seleccionado la acción "Preguntar en caso necesario" para un suceso del sistema que se supervisa. Esta acción solicita al usuario que permita o deniegue programas asociados al suceso. Si el usuario no responde una vez transcurrido un determinado periodo de tiempo, OfficeScan permite de forma automática que el programa se ejecute.
Para obtener información detallada, consulte Supervisión de sucesos.
Vaya a la sección Configuración de la supervisión del comportamiento.
Especifique el periodo de tiempo en Permitir automáticamente el programa si el cliente no responde en __ segundos.
Haga clic en Guardar.
El Servicio de software seguro certificado realiza consultas a los centros de datos de Trend Micro para comprobar la seguridad de un programa que haya detectado la Supervisión de sucesos o el Bloqueador de comportamientos malintencionados. Active el Servicio de software seguro certificado para reducir la probabilidad de detecciones de falsos positivos.
Asegúrese de que el cliente tenga la Configuración del proxy del cliente correcta antes de activar dicho servicio. Una configuración incorrecta del proxy, junto con una conexión intermitente a Internet, puede acarrear atrasos o fallos en la respuesta de los centros de datos de Trend Micro, lo que puede hacer que los programas que se supervisen no respondan.
Además, los clientes que solo utilicen IPv6 no podrán realizar consultas directas a los centros de datos de Trend Micro. Con el fin de permitir que los clientes se conecten a los centros de datos de Trend Micro, se necesita un servidor proxy de doble pila que pueda convertir direcciones IP, como puede ser DeleGate.
Para activar el Servicio de software seguro certificado:
Equipos en red > Configuración general del cliente
Vaya a la sección Configuración de la supervisión del comportamiento.
Seleccione la opción Activar el servicio de software seguro certificado.
Haga clic en Guardar.
Consulte también: